Wachtwoorddrama’s bij bedrijven

Wachtwoorden. Ze blijven een zwakke plek in onze online veiligheid. Dat geldt niet alleen voor consumentenaccounts, maar ook voor zakelijke. We gebruiken massaal zwakke wachtwoorden. En we gebruiken dat ene slechte wachtwoord voor soms wel tientallen accounts. En als we erop gewezen worden dat dat geen goed idee is, halen we onze schouders op.

En dan is er op een dag een groot datalek, waarbij miljoenen inloggegevens worden buitgemaakt. Bijvoorbeeld bij LinkedIn. LinkedIn vraagt alle gebruikers om hun wachtwoorden te wijzigen. Een deel doet dat dan ook (al dan niet met tegenzin). Maar hoeveel van deze gebruikers, die we in dit kader moeten bestempelen als ‘de goeden’ denken na over de andere accounts waarvoor hetzelfde wachtwoord is gebruikt? Hoeveel mensen nemen de moeite om ook bij die accounts het wachtwoord aan te passen?

Ik vermoed dat het daarbij slechts om een zeer klein percentage gaat. Voor verreweg de meeste mensen die niet de benodigde maatregelen hebben getroffen geldt dat er niet zo veel gebeurd is in de periode na het grote datalek. Dus, men waant zich veilig.

Totdat iemand met het idee komt om al die gestolen gegevens eens doorzoekbaar te maken. In eerste instantie redelijk verantwoord, via haveibeenpwned.com. Na ingave van een e-mailadres, krijg je te zien of dat e-mailadres (en het bijbehorende wachtwoord) ooit betrokken is geweest bij een datalek. Enkel een ‘ja’ of ‘nee’ was de uitkomst. Totdat iemand op het idee kwam dat het leuk zou zijn om deels te onthullen welk wachtwoord er dan exact buit is gemaakt, door de eerste paar karakters van dat wachtwoord te tonen. Vervolgens kwam de ultieme ‘service’: tegen betaling kon je het gehele gestolen wachtwoord zien. Of het dan echt om je eigen wachtwoord gaat of dat van een willekeurig ander persoon waarvan je het e-mailadres kent, dat is blijkbaar van secundair belang.

Dat dit alles in mijn visie veel te ver gaat, lijkt mij duidelijk. Maar, er zit wel een voordeel aan. Door deze actie, die zeer breed is uitgemeten in de media in zowel Nederland als België, is voor iedereen volstrekt duidelijk dat wachtwoorden voor bedrijven een groot probleem vormen. Deze zaak kent namelijk verschillende lagen aan datalekken. Ten eerste is er uiteraard het oorspronkelijke datalek, bij het voorbeeld van hierboven bij LinkedIn. Maar al snel werd duidelijk dat veel van de gelekte gebruiksgegevens van zakelijke aard waren: veel LinkedIn-gebruikers gebruiken het platform met het e-mailadres van hun werk. En omdat gemak nu eenmaal de mens dient, is het te verwachten dat veel van deze gebruikers het wachtwoord gebruikten voor LinkedIn, dat zij ook voor verschillende zakelijke toepassingen gebruiken. Denk aan het wachtwoord voor het ontgrendelen van het besturingssysteem, voor het inloggen op de Outlook Web App, voor inloggen op het intranet, etc. Hiermee is dit nu ook een datalek geworden van al die bedrijven waar deze personen bij werken.

En het ergste is nog wel: tegen dit soort datalekken kun je je als bedrijf nauwelijks weren. Bij de meeste bedrijven gaat het al tegen de IT-policy in om het zakelijke e-mailaccount te gebruiken voor privé-accounts. Formeel verbieden is weliswaar zinvol vanuit een juridisch oogpunt, maar het houdt zeker niet alle werknemers tegen. Een andere maatregel is om werknemers te dwingen om voor al hun zakelijke accounts het wachtwoord eens in de zoveel tijd te wijzigen of om zoveel mogelijk te kiezen voor tweefactor authenticatie. Dit kun je slechts deels afdwingen: veel diensten die zakelijk worden gebruikt bieden hiervoor geen mogelijkheden. Een derde maatregel is het doorlopend voorlichten en trainen van het personeel om dit soort datalekken terug te dringen. Maar iedereen weet dat gebruiksgemak het toch meestal wint van de veiligheid. En daarmee is duidelijk dat een ultieme oplossing voor de wachtwoordproblemen van bedrijven nog lang weg is.

Dit is een ingezonden bijdrage van Eddy Willems, Security Evangelist bij G DATA. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.